%20(1).webp "Bilgisayar Korsanları Bir Saat İçinde Şifrelerin %59'unu Kırabilir")
Araştırmacılar, laboratuvarlarda kullanılan yapay şifreler yerine karanlık ağda sızdırılan gerçek dünya şifrelerini analiz etti. Bulguları, bu şifrelerin endişe verici %59’unun yalnızca modern bir grafik kartı ve biraz teknik bilgi kullanılarak bir saat içinde kırılabileceğini gösterdi. birçok gerçek dünya şifresinin zayıflığı ve GPU’larla yapılan kaba kuvvet saldırılarının etkinliği.
Parola kırma, orijinal parolanın karma formundan alınması anlamına gelir. Geleneksel olarak şifreler düz metin olarak saklanıyordu ve bu da onları veri ihlallerine karşı savunmasız hale getiriyordu.
Modern sistemler, parolaları benzersiz, sabit uzunlukta karma değerlerine dönüştürmek için SHA-1 gibi karma algoritmaları kullanarak bu sorunu çözer. Bir kullanıcı oturum açtığında, girdiği şifre karma işlemine tabi tutulur ve depolanan karma değeriyle karşılaştırılır ve eşleşirse erişim verilir.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Krakerler, genellikle yaygın parolalar için karmaları önceden hesaplayan gökkuşağı tablolarını kullanarak karmanın şifresini çözerek orijinal parolaya geri döndürmeyi amaçlar. Bu onların güvenliği ihlal edilmiş hesaplara ve potansiyel olarak aynı şifrenin yeniden kullanıldığı diğer hesaplara erişmelerine olanak tanır.
Parola güvenliğini artırmak için, salt ile parola karma işlemi, dinamik olarak oluşturulabilen veya statik olarak oluşturulabilen bir karma işlevi uygulanmadan önce rastgele bir veri dizisi (tuz) içerir ve her kullanıcı için benzersiz parola-tuz kombinasyonları oluşturur.
Bu kombinasyonu karma algoritmasına beslemek, farklı bir karma oluşturarak önceden hesaplanmış gökkuşağı tablolarını saldırganlar için etkisiz hale getirir. Sonuç olarak, bu yöntem şifre kırmanın zorluğunu önemli ölçüde artırır.
Modern GPU’lar şifre kırma konusunda CPU’lardan önemli ölçüde daha hızlıdır. Örneğin, bir hashcat ile eşleştirilmiş bir RTX 4090, tuzlu MD5 karmaları için saniyede 164 milyar karma analiz edebilir; büyük/küçük harfler ve rakamlardan (her biri 36 karakter) oluşan 8 karakterlik bir şifre ise 2,8 trilyon kombinasyona sahiptir.
Güçlü bir CPU (6,7 GH/s) bu şifreyi 7 dakikada kırabilirken, RTX 4090’ın (164 GH/s) yalnızca 17 saniyeye ihtiyacı vardır.
Saldırganlar, bu tür GPU’lara sahip olmasalar bile bunları saat başına birkaç dolara kiralayabilirler ve bu da onların sızdırılan büyük şifre veritabanlarını verimli bir şekilde kırmalarına olanak tanır.
.webp)
Kaspersky’deki araştırmacılar gerçek dünyadaki şifreleri analiz etti ve çoğunun kırılmaya karşı savunmasız olduğunu buldu.
Kaba kuvvet ve akıllı tahmin algoritmalarının bir kombinasyonunu kullanarak şifrelerin %45’ini bir dakikadan kısa sürede, %59’unu ise bir saat içinde kırdılar.
Akıllı tahmin algoritmaları bunu ortak karakter kombinasyonlarına öncelik vererek başardı. Bu, bir veritabanındaki tüm şifreleri kırmanın, bir şifreyi kırmakla hemen hemen aynı süreyi aldığını vurguluyor çünkü her tahmin, karma şifrelerden oluşan bir veritabanına göre kontrol ediliyor.
Parola kırma algoritmaları, insanların ortak ifadeleri, tarihleri ve kalıpları tercih ettiği kombinasyonları verimli bir şekilde tahmin etmek için insanların öngörülebilirliğinden yararlanır ve bu da onları sözlük saldırılarına karşı savunmasız hale getirir.
Rastgelelik girişimleri bile klavyenin orta tuşlarına yönelerek algoritmaların sözlük kelimeleri veya sık kullanılan sembol kombinasyonlarını içeren çoğu şifreyi dakikalar veya saatler içinde kırmasına olanak tanır.
Harflerin yerine “pa$$word” veya “@” gibi temel ikameler minimum düzeyde koruma sağlar. Benzer şekilde, “123456” gibi popüler kelimelerin veya sayı dizilerinin eklenmesi de şifreleri önemli ölçüde zayıflatır.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free